Michal Tyrala pisze:
> On Tue, 10 Aug 2010 09:05:36 +0200, Liwiusz wrote:
>>> *"U mnie w banku jest tak, że login jest mój własny"*
>> I co z tego? Login "własny" jest trudniejszy do trafienia od loginu
>> nadawanego przez bank?
>
> Zakladajac, ze narzucany login jest, jak wielu bankach wylacznie
> cyferkowy, a we wlasnym mozna uzywac liter, cyfr i kilku znaczkow, to
> tak, ,,troche'' trudniej cos takiego trafic.

Ale wówczas argument nie powinien brzmieć "login lepszy, bo mój",
tylko "login lepszy, bo ma więcej kombinacji".

--
Liwiusz

do góry

W Aliorze zmieniła mi się tylko jedna cyferka, z 2 na 3 i login też był
dobry, otworzyła się strona z hasłem. Tylko mojego kota nie było.
Dalsze próby wykazały, że to nie takie proste. Wpisując dowolne loginy
otwiera się zawsze ta sama strona. Taka pułapka na złych ludzi.

do góry

Dnia Tue, 10 Aug 2010 15:14:29 +0200, Piotr Gałka napisał(a):


> Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że
> po 3-ciej błędnej próbie następuje blokada na minutę (każde logowanie
> (nawet prawidłowe) na ten login zostanie odrzucone). Po tej minucie
> każda błędna próba przedłuża ten czas o kolejną minutę, a prawidłowa
> działa. Można to zrobić nie ujawniając czy login prawidłowy, czy nie.
> Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej
> liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie
> byłoby jak sprawdzić, które prawidłowe.

Nie wiem dlaczego każdy rozpatruje to w kwestiach próby zalogowania się
do danego konta. Tutaj zupełnie o to nie chodzi. Co z tego, że po 3
próbach będzie zablokowany dostęp na minutę czy tam XX minut. To jest
mało istotne. Każdy nazwijmy to "atakujący" komputer wykona jedną prostą
czynność typu na login 12345678 poda hasło X i zrobi to 3 razy i nic
więcej. Jeżeli uda mu się znowu logować, to zaloguje się na login
98765432 z hasłem X także 3 razy itd itd. Chodzi o zablokowanie jak
największej ilości kont. O to i aż o to. I w tym przypadku rozpatruję czy
banki jakoś się zabezpieczają przed tego typu atakami, które chyba raczej
jeszcze nie miały miejsca ale to wcale nie znaczy, że się wydarzyć nie
mogą ;)


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

Użytkownik "xbartx" <b...@h...net> napisał w wiadomości
news:i3s8kc$564$1@news.net.icm.edu.pl...
>
>> Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że
>> po 3-ciej błędnej próbie następuje blokada na minutę (każde logowanie
>> (nawet prawidłowe) na ten login zostanie odrzucone). Po tej minucie
>> każda błędna próba przedłuża ten czas o kolejną minutę, a prawidłowa
>> działa. Można to zrobić nie ujawniając czy login prawidłowy, czy nie.
>> Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej
>> liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie
>> byłoby jak sprawdzić, które prawidłowe.
>
> Nie wiem dlaczego każdy rozpatruje to w kwestiach próby zalogowania się
> do danego konta.

Nie wiem jak to wyczytałeś z tego co napisałem.

> Tutaj zupełnie o to nie chodzi. Co z tego, że po 3
> próbach będzie zablokowany dostęp na minutę czy tam XX minut. To jest
> mało istotne.

Właśnie to, że na minutę (czy XX minut) a nie na stałe jest bardzo istotne.

> Każdy nazwijmy to "atakujący" komputer wykona jedną prostą
> czynność typu na login 12345678 poda hasło X i zrobi to 3 razy i nic
> więcej.

Jakie jest prawdopodobieństwo, że akurat w minutę po tym prawdziwy posiadacz
loginu 12345678 będzie się próbował zalogować ?

> Jeżeli uda mu się znowu logować, to zaloguje się na login
> 98765432 z hasłem X także 3 razy itd itd. Chodzi o zablokowanie jak
> największej ilości kont.

Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
_istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny)
losowo wybrany login będzie prawdziwym loginem jakiegoś konta.
P.G.

do góry

Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):

> Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
> nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
> _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co
> tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś
> konta. P.G.

Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako
atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię
komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy
na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka.
Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę
przy pomocy botnetu zablokować jak największą ilość kont klientów danego
banku co może pociągnąć na sobą konkretne skutki.


--
xbartx

do góry

Jan Strybyszewski pisze:


> Ale jaki masz ten botnet 100tys kompow wiecej ?
> Chyba nie sadzisz ze bank pozwoli na kilka prob roznych loginow tego
> samego kompa.

Uważasz, że nie pozwoli na kilka prób?

--
Liwiusz

do góry

Użytkownik "xbartx" <b...@h...net> napisał w wiadomości
news:i3tu7m$619$1@inews.gazeta.pl...
> Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):
>
>> Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
>> nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
>> _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co
>> tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś
>> konta. P.G.
>
> Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako
> atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię
> komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy
> na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka.
> Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę
> przy pomocy botnetu zablokować jak największą ilość kont klientów danego
> banku co może pociągnąć na sobą konkretne skutki.
>
To jest jasne cały czas.
Na moje wyczucie system akceptujący do 10 000 logowań na minutę będzie (w
normalnym użytkowaniu) postrzegany przez klientów jako chodzący sprawnie.
Jeśli moje oszacowanie jest prawidłowe to nie ma powodu, aby system banku
udostępniał na zewnątrz (niezależnie od ilości atakujących go komputerów)
większej przepustowości (upraszczam tylko do samych logowań). Przy moich
założeniach (blokowanie konta tylko na minutę) wykorzystując całe to pasmo
można wykonać w ciągu minuty 10 000 prób logowań blokując w ten sposób 3 333
loginów. Jeśli tylko co tysięczny byłby prawdziwy to oznaczało by
praktycznie zablokowanie na stałe zaledwie 3 kont. Gdyby natomiast dało się
sprawdzić które loginy odpowiadają konkretnym kontom dało by się zablokować
na stałe 3 333 konta.
Ta różnica jest powodem dla którego napisałem: "dużej liczby loginów, z
których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić,
które prawidłowe."
Sądzę, że w tej wypowiedzi jasno widać, że chodzi o prawidłowe loginy, a nie
o prawidłowe logowania.

Jeśli założyć, że ktoś potrafi przejąć całe pasmo udostępnione przez system
to kwestia ile kont zablokuje przestaje mieć znaczenie bo i tak nikt się nie
zaloguje;-).
P.G.

do góry

xbartx pisze:
> Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):
>
>> Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
>> nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
>> _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co
>> tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś
>> konta. P.G.
>
> Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako
> atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię
> komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy
> na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka.
> Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę
> przy pomocy botnetu zablokować jak największą ilość kont klientów danego
> banku co może pociągnąć na sobą konkretne skutki.

Ale jaki masz ten botnet 100tys kompow wiecej ?
Chyba nie sadzisz ze bank pozwoli na kilka prob roznych loginow tego
samego kompa.

do góry

On Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka wrote:
> Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
> nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
> _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny)
> losowo wybrany login będzie prawdziwym loginem jakiegoś konta.

Jakis bank przydziela identyfikatory (loginy) klientom kolejno co jeden?

--
Michał

wiesiu jest spamtrapem. ja jestem kbns

do góry

Liwiusz pisze:
> Jan Strybyszewski pisze:
>
>
>> Ale jaki masz ten botnet 100tys kompow wiecej ?
>> Chyba nie sadzisz ze bank pozwoli na kilka prob roznych loginow tego
>> samego kompa.
>
> Uważasz, że nie pozwoli na kilka prób?

Dla roznych "loginów" w jednej sesji "ciasteczkowej"
Pamietaj iz taki bootnet musiałby byc bardzo sprytny

do góry